Manual de Seguridad para Periodistas del CPJ

 

3 Seguridad de la Tecnológica

Mientras usted se desempeña como periodista, en todo momento utiliza herramientas técnicas: una computadora laptop para redactar los artículos y realizar investigaciones en la Internet; dispositivos móviles para hacer llamadas y enviar correos electrónicos; cámaras fotográficas; y grabadoras para las entrevistas. Todas estas herramientas se pueden combinar en un solo dispositivo que realice muchas funciones. Estos dispositivos contienen una abundancia de información necesaria para su labor informativa.

Esta sección trata del uso seguro de tales herramientas. Ello significa proteger la información que usted posee: asegurar que no pierda materiales que son cruciales para un reportaje y mantener en privado la información de carácter confidencial. También significa asegurar que estas herramientas funcionen cuando usted las necesite, inclusive si otra persona esté intentando interrumpir su uso.

Si usted trabaja en el terreno, los archivos digitales podrían ser los artículos más preciados en su poder. Perder notas o materiales como fotos y videos puede echar por tierra un reportaje. Dejar que su lista de contactos o su itinerario caigan en las manos equivocadas puede ponerlo en riesgo a usted o a una fuente. Permitir que le confisquen, destruyan o interrumpan sus herramientas puede impedir que siquiera realice un reportaje.

El volumen y la sofisticación de los ataques contra los datos digitalizados de los periodistas están aumentando a un paso alarmante. En China, los corresponsales extranjeros han visto sus computadoras personales infectadas con software de vigilancia que estaba oculto bajo la forma de adjuntos en mensajes de correo electrónico cuidadosamente inventados. Las autoridades de países como Etiopía y Colombia han podido acceder a teléfonos, correos electrónicos y conversaciones de texto de periodistas. Los agentes gubernamentales no son los únicos que utilizan el sabotaje y la vigilancia digital sino que grandes organizaciones delictivas también explotan de modo creciente las oportunidades que les ofrece la alta tecnología. Criminales cibernéticos oportunistas o "patrióticos" también apuntan contra periodistas que trabajan con datos valiosos o controvertidos.

A la larga, sin embargo, una buena seguridad en la información pocas veces trata sobre cómo defenderse de ciberataques y de hackers al estilo de las películas de Hollywood. Se refiere más a cómo comprender los motivos y las capacidades de los eventuales atacantes y cómo desarrollar hábitos constantes sobre la base de dichas evaluaciones.

Planificar con miras a la seguridad

Qué proteger

Reuters

¿Qué cosas quiere proteger y de qué quiere protegerlas? Las cosas que usted quiere proteger son activos; las cosas que pueden salir mal son riesgos. Por el momento, no se preocupe acerca de quién podría atacarlo o cómo podrían hacerlo, sino piense solamente en activos y riesgos.

En general existen tres riesgos en los que usted debería pensar:

1. Pérdida. Cuando el disco duro de su computadora sufre un desperfecto, su teléfono se destruye o usted pierde la tarjeta de datos de su cámara.

2. Divulgación. Alguien se entera de algo que usted prefiere mantener en privado.

3. Interrupción. La conexión de red suya deja de funcionar, usted no puede enviar un mensaje de correo electrónico o su teléfono no tiene señal.

Al tomar en cuenta lo que quiere proteger, imagine qué es lo esencial para que usted pueda realizar su trabajo o para un adversario que desee interferir su labor. Puede que no sea obvio y por tanto vale la pena reflexionar cuidadosamente al respecto. Inclusive si su trabajo es en su mayor parte transparente, de todos modos existen herramientas de las que usted depende y materiales que deben mantenerse en privado.

Piense si la información que las fuentes le han dado podría ponerlas en peligro en caso de divulgarse. Algunas cosas podrían parecer inofensivas en determinado contexto y representar un peligro en otro. Obtener acceso a la información de contactos israelíes en su poder cuando se informa sobre un acontecimiento en un país árabe (o al revés) puede causarles problemas a todos los implicados. Incluso la información personal o relacionada con sus viajes que usted ha compartido anteriormente en la Internet podría ponerlo en un aprieto en otro contexto.

Algunos activos son evidentes. Probablemente no quiera perder o divulgar los archivos de su computadora y dispositivos móviles y las interrupciones temporales interferirían su labor. Algunos activos son más efímeros. Usted (y sus fuentes) probablemente preferirían que no se divulgara su ubicación actual ni el historial de ubicaciones. Lo mismo sucede con respecto a una lista de personas con las cuales se comunica y cuándo, o una lista de los sitios de Internet que usted visita mientras busca datos para un reportaje.

También depende de recursos técnicos para trabajar con efectividad. ¿En qué grado podría verse interferida su labor por la interrupción de su correo electrónico o de su capacidad de hacer llamadas por teléfono o hacer investigaciones por la Internet, o hasta por la interrupción completa del acceso a las redes? Vale la pena tomar nota de los servicios de Internet de los que usted depende. ¿Usted trabaja en sus notas, correo electrónico, documentos y cosas por el estilo mediante un navegador de Internet? ¿Cuánto afectaría su trabajo la interrupción del acceso a esos servicios?

Si le cuesta trabajo llevar la cuenta de todas las herramientas, datos y recursos de los que depende, puede serle útil llevar un diario de todo lo que usted utiliza en el transcurso de una semana.

Comprender la amenaza

Ahora que sabe lo que quiere proteger, vale la pena darle un nombre o un rostro al ominoso "ellos" que pudieran querer comprometer estos activos.

Algunas amenazas son benignas o derivadas del entorno. Los discos duros de las laptop a veces dejan de funcionar; sin copias de seguridad periódicas, esos datos se pierden. Otras amenazas provienen de un actor maligno --un agente del Gobierno que hace una copia del disco duro suyo en la frontera, o un detective privado que lo sigue. Es importante tomar en cuenta ambos tipos de amenaza, pero los efectos son los mismos: el actor amenaza la integridad de uno de los activos que le pertenecen.

Al tratar de enumerar los actores malignos, es importante valorar sus motivos. ¿Quién querría interferir en su labor periodística o identificar su fuente? Quizás quieran ver la información no pública que posee. O quizás una amenaza no esté interesada en usted en particular. Si un país censura la conexión local de Internet, ello puede interferir su capacidad de comunicarse y buscar datos durante su estancia en esa nación.

Es fácil imaginar algún departamento de vigilancia al estilo orwelliano analizando cada paso suyo en la Internet. Sin embargo, esa no es la única amenaza que puede enfrentar. Otros actores pueden representar amenazas mucho más urgentes. Es más frecuente que los periodistas hagan enemigos en una parte específica del gobierno o con una persona en particular, tal como un jefe de la policía local o un funcionario de gobierno corrupto. ¿Acaso tienen ellos acceso a equipos de vigilancia sofisticados? ¿O tienen más posibilidades de tirar abajo de un puntapié la puerta de su casa y arrebatarle la computadora portátil?

También considere la posibilidad de que los ataques sean perpetrados por partidarios o simpatizantes de personas que están molestas por sus reportajes. En muchos casos documentados por el CPJ, los ataques no fueron ejecutados directamente por gobiernos o por partidos políticos, sino por agitadores "patrióticos" sin vinculación alguna, que perciben a los medios extranjeros o de la oposición como blancos legítimos de sus agresiones.

Elaborar un plan

AP

La seguridad tecnológica tiene algunas debilidades específicas. Puede ser muy difícil saber cuándo otra persona ha revisado sus datos. Si alguien le roba la billetera o le registra la habitación de hotel, es muy posible que usted se dé cuenta. Si alguien le hace una copia al disco duro de su laptop mientras usted está cenando fuera del hotel, es posible que nunca se dé cuenta. Puede que sea imposible revertir el daño. Una vez que los datos en su poder se pierden, o que alguien se haya enterado de un secreto, ya no los puede recuperar.

Lo anterior se exacerba por el hecho de que los sistemas tecnológicos son complejos y están conformados por muchos elementos diferentes que están en constante cambio. Ni siquiera los tecnólogos más preparados y meticulosos pueden conocer el funcionamiento de cada programa de sus computadoras, y mucho menos cómo interactúan con otros programas de software presentes en la red y dónde se pueden aprovechar esas interacciones. Incluso si no es un experto en chalecos antibala, puede comprender en esencia lo que hacen y cómo. La seguridad informática es mucho más difícil de comprender de manera intuitiva. Las analogías del mundo real raramente describen el panorama completo.

Ello quiere decir que usted debe enfatizar la simplicidad. Un número pequeño de herramientas fáciles de usar, técnicas y hábitos son siempre lo más seguro. Los sistemas complejos son difíciles de comprender; los procedimientos involucrados pueden dejarse a un lado cuando las tareas llevan urgencia. En ocasiones, el esfuerzo dedicado a fortalecer una actividad es innecesario cuando hay un simple eslabón débil en otra parte.

Concéntrese en las personas que tienen la mayor probabilidad de querer interrumpir su labor, los extremos a los que pueden ir para conseguirlo, y qué probabilidad tienen de ser competentes y efectivos. Utilice ese conocimiento para planificar cómo proteger su trabajo.

Una vez que ha pensado en quién podría querer interferir en su trabajo, lo que podrían intentar, y el grado de efectividad con que podrían hacerlo, puede comenzar a planificar las medidas técnicas que empleará para frustrar sus planes. El resto de las siguientes sugerencias son recomendaciones generales acerca de la seguridad informática. La asesoría técnica detallada puede quedar desactualizada rápidamente, especialmente si se descubre una nueva vulnerabilidad en una tecnología.

Proteger las comunicaciones

La comunicación es la esencia de la mayoría de las actividades periodísticas. Cuando habla con alguien --ya sea por correo electrónico, mensaje de texto, chat instantáneo, teléfono o cualquiera de los muchos otros servicios de comunicaciones disponibles-- es posible que usted quiera mantener en privado varios detalles de su conversación. En general, los dos hechos más importantes de una conversación son con *quién* habla y lo *que* dice.

Las herramientas que utiliza pueden registrar otros detalles también (y tener la capacidad de revelarlos). Utilizar un teléfono móvil revela su ubicación a la empresa de telefonía y a quienquiera que la empresa de telefonía opte por revelar esta información, lo cual podría incluir a la policía o el Gobierno. Utilizar una herramienta de comunicación que almacene una lista de contactos puede revelar esa lista al proveedor del servicio (y a quienquiera que el proveedor se lo informe). La información sobre conversaciones pasadas (como una copia de la factura telefónica con el horario y la duración de las llamadas) puede revelar información sobre los hábitos y rutinas de comunicación y puede ser suficiente como para sospechar quién conversaba o revelar detalles de lo que se conversó, en particular cuando se combina con información recabada de otras maneras.

Incluso cuando tiene una buena idea de los intereses y las capacidades de sus adversarios, puede ser difícil imaginar cómo ellos podrían armar en un todo pequeñas informaciones sobre sus comunicaciones para que ello revele un panorama más general. En casos en que sea muy importante guardar el secreto de la identidad de una fuente, es posible que tenga que tomar algunas medidas algo incómodas para evitar dejar un rastro que lleve a la fuente.

Puede ser que antes estas capacidades solamente estuvieran disponibles para expertos o personas acaudaladas. Aunque algunas capacidades todavía están reservadas para el Gobierno o la policía, muchas de estas herramientas pueden ser adquiridas a precios módicos. Los investigadores profesionales tienen acceso a un potente repertorio de ataques y no siempre lo usan éticamente.

Dispositivos móviles

Las intercepciones telefónicas son una de las maneras más comunes de vigilar a los periodistas. Siempre que hace una llamada, la empresa de telefonía tiene la capacidad de ver a quién llama y de escuchar el contenido de la llamada. Los mensajes de texto son incluso más fáciles de interceptar, porque son breves y fáciles de almacenar, lo cual hace innecesario contar con costosos equipos de grabación. El CPJ documentó casos en los cuales las autoridades les mostraron a periodistas registros de mensajes de texto como una amenaza implícita o prueba de que habían desarrollado alguna actividad contra el Estado.

Puede mitigar en algo esta amenaza al utilizar herramientas como Signal y Redphone para encriptar las llamadas y TextSecure para los mensajes de texto. Normalmente es prudente suponer que estas herramientas solamente ocultan el contenido de las conversaciones --no los participantes, el horario, las distintas ubicaciones suyas ni otros detalles--. Los teléfonos y las tarjetas SIM tienen números de serie únicos y ambos números son informados a la empresa de telefonía siempre que el teléfono esté encendido. Simplemente colocar la tarjeta SIM en otro teléfono o mantener el mismo teléfono y cambiar la tarjeta SIM no ocultará mucho a una empresa de telefonía, ya que les basta con comparar los dos números de serie.

Cuando uno lleva un teléfono móvil, éste constantemente se conecta con las antenas para celulares que están a su alrededor, para que las llamadas entrantes puedan ser dirigidas a la antena correcta y alcanzarle. Ello también deja un rastro de las torres a las que se ha acercado, lo cual le proporciona a la empresa de telefonía una buena constancia de los lugares donde ha estado el teléfono. Retirar la batería del teléfono evita esto, pero debe estar consciente del rastro que pueden dejar varias personas que le quitan la batería al teléfono apenas horas antes de encontrarse para una reunión. Puede que sea más sensato quitar la batería antes de salir o dejar atrás el dispositivo.

Puede mitigar un poco el riesgo al comprar anónimamente con efectivo un teléfono celular prepagado y desecharlo después de haberlo usado. Algunos se refieren a eso como un teléfono "para quemar". Si necesita identificación para comprar un teléfono, valore comprar un teléfono de segunda mano de otro usuario. Este método no es infalible: si lleva tanto un teléfono para quemar como un teléfono normal, o el teléfono para quemar está en su casa de noche y en la oficina por el día, un análisis cuidadoso de los registros de la empresa telefónica puede revelar que el teléfono es suyo. A menos que sus contactos también estén utilizando teléfonos para quemar y estén tomando cuidadosas precauciones, las primeras llamadas suyas a los números de las demás personas pueden revelar su nuevo número. Un análisis sofisticado puede ser capaz de utilizar registros de llamadas para identificar redes --grupos de teléfonos que se llaman y se envían mensajes de la misma manera-- y ello podría delatarlo inclusive si todos los miembros del grupo cambian de teléfono para quemar a la misma vez.

Además de que los teléfonos móviles pueden utilizarse como dispositivos de rastreo, se pueden utilizar como dispositivos de escucha a distancia. Apagar un teléfono no garantiza que no pueda utilizarse de esta manera: para la mayoría de los dispositivos, "apagado" es en realidad apenas una modalidad de muy poca potencia. La única manera de asegurar que un teléfono no se está utilizando para escuchar a distancia es quitar la batería o dejarla atrás.

Conexiones de Internet

Si está utilizando la conexión inalámbrica en un lugar público, otras personas conectadas a la misma red podrían espiar su navegación por la Internet, correos electrónicos, mensajes instantáneos, lo que pulsa en un sitio web, y cualquier otra actividad suya en la Internet. Si está en un hotel o lugar similar, esa institución también tiene la posibilidad de espiar estas cosas. Si utiliza una conexión de Internet privada (y le ha puesto seguridad a su red inalámbrica), solamente el proveedor de servicio de Internet sabe lo que usted hace en la Internet.

Puede ocultar esta información de los curiosos y los proveedores de servicio de Internet empleando una red privada virtual (Virtual Private Network, VPN). Una VPN encripta y envía todos los datos de Internet hacia y desde su computadora a través de una computadora especialmente dispuesta a tal fin que se encuentra en otra parte de la Internet, llamada servidor VPN. Cuando se configure de modo correcto, la red VPN asegurará que todas sus comunicaciones estén seguras contra interferencias locales. Si es empleado de una organización de medios, su empleador podría bien querer usar una VPN para permitir que los usuarios remotos accedan a las redes internas de la compañía. De modo alternativo, algunos servicios comerciales permiten que los individuos abonen una renta mensual para acceder a un servidor de VPN.

Como se ve en el resto de Internet, pareciera que está accediendo a la Web y a otros servicios de Internet desde su servidor VPN, no desde su ubicación real. Esto significa que puede ocultar su ubicación actual y pasar por encima de los sistemas de censura locales. Los VPN no encriptan cada etapa del recorrido de sus datos en línea. Puesto que su destino final tal vez no comprenda los datos encriptados, la información y solicitudes que maneje surgen del servidor VPN de modo no encriptado. Los operadores de su servidor VPN y los intermediarios entre el operador y los sitios y servicios que usted visite, mantienen la capacidad de monitorear sus comunicaciones. Si está defendiéndose contra un adversario local, como por ejemplo el gobierno, el servidor VPN del servicio que seleccione deberá hallarse en otra jurisdicción.

Una alternativa incluso más sofisticada a la red VPN comercial es el servicio seguro de correo electrónico por anonimato llamado Tor. El servicio Tor protege el tráfico de sus usuarios encriptando y mezclando los datos a través de varios servidores manejados por voluntarios antes de que finalmente salgan a Internet. La manera más fácil de utilizar Tor es con el navegador Tor, un navegador anónimo configurado de antemano para utilizar Tor. También se puede emplear Tails, un sistema operativo en vivo que envía todo el tráfico de redes por Tor.

Muchos sitios web responsables lo protegen encriptando las comunicaciones suyas con ellos. Puede saber si su conexión a un sitio web está encriptada mirando la barra para direcciones URL de su navegador. Si la dirección del sitio web comienza con "https://" y no con "http://" y hay un ícono de candado al lado, entonces la conexión está encriptada. Un fisgón sabrá qué sitio usted visita pero no cuál página de ese sitio ni la información que ingresa. Esto es particularmente importante para cualquier sitio en el que usted ingrese con contraseña --de lo contrario, alguien que lo vigile podría fijarse en su contraseña e ingresar al sitio web haciéndose pasar por usted.

Un complemento de navegador o add-on llamado HTTPs-everywhere ayuda a garantizar que usted utilice una conexión segura donde quiera que sea posible, pero algunos sitios y servicios no ofrecen una conexión segura. Cuando quiera que navegue por un sitio web que no esté protegido con HTTPs, existe la posibilidad de que un atacante pueda aprovechar la oportunidad inyectarle malware a la página e infectar su computadora. Si esto le preocupa, "HTTPs-everywhere" tiene una opción para inhabilitar completamente el HTTP inseguro, pero sepa que sencillamente no podrá leer algunos sitios web si hace esto.

Correo electrónico y mensajes instantáneos

Los programas de encriptación pueden codificar sus mensajes de modo tal que solo un receptor elegido pueda decodificarlos. Se puede elegir software de encriptación diseñado para usos específicos (tales como correo electrónico y mensajería instantánea), o puede adoptar métodos que encriptan todo nuestro tráfico en Internet.

Los referentes obligados de la encriptación para correo electrónico son GNU Privacy Guard (GPG), que es un programa gratuito y de código abierto, y Pretty Good Privacy (PGP) de la empresa Symantec. Ambos programas son compatibles entre sí. Desafortunadamente, GPG y PGP tienen una pronunciada curva de aprendizaje y son difíciles de usar. Si los emisores y los receptores de los mensajes utilizan correctamente estos programas, ellos le proporcionan un elevado nivel de seguridad al contenido de sus mensajes, pero no ocultan ni su identidad ni la de su interlocutor. Muchos programas de correo electrónico, tales como Outlook, Thunderbird y Apple Mail, tienen complementos, o plug-ins, que brindan soporte a GPG/PGP; las organizaciones de derechos humanos y de medios a veces brindan clases de instrucción en la utilización de dichas tecnologías.

Si está trabajando bajo un régimen represivo conocido por tener acceso a los proveedores de comunicaciones, considere la posibilidad de usar un proveedor de correo de Internet radicado en otro país sin vinculaciones políticas o económicas con el lugar donde se halla. Tal vez desee alentar a que los corresponsales utilicen una cuenta de correo electrónico dentro del mismo servicio cuando hablan con usted. No tiene ningún sentido encriptar cuidadosamente la parte de la conversación que le corresponde si su receptor lee sus mensajes de correo electrónico de modo inseguro.

Cuando un servicio de correo electrónico envía un mensaje a otro servicio, se abre una oportunidad para que el mensaje sea interceptado. Algunos servicios utilizan la encriptación cuando envían un mensaje hacia afuera, otros no. Si el emisor y el receptor utilizan el mismo servicio, este paso se evita. Puede aprender más acerca de qué servicios ofrecen enctriptación de servidor a servidor en el informe de transparencia de Google. También puede consultar un servicio en particular en https://starttls.info. Puede que le convenga consultar si el proveedor de correo electrónico de su destinatario ofrece encriptación de servidor a servidor antes de mandarle un mensaje a esa persona. Si no, puede ser útil valorar si debe usar GPG y PGP o una herramienta diferente para comunicarse.

Aunque la encriptación de servidor a servidor puede proteger los mensajes en tránsito por la Internet, los atacantes pueden intentar obtener su archivo de mensajes previos. Podrían hacer esto instalando software en su computadora o en la de los destinatarios de sus mensajes, o ingresando ilegalmente a su proveedor de correo electrónico. Por ello es importante que proteja su propia computadora y las contraseñas de todo servicio de correo electrónico que emplee. (Vea las secciones a continuación sobre [Defender los datos] y [Proteger los datos externos].)

Las herramientas de mensajería instantánea como Google Hangout, Skype, Facebook Messenger, Kik, WhatsApp, Viber y otros similares pueden ser tan vulnerables a la intercepción como el correo electrónico. Muchos programas de chat utilizan la encriptación para asegurar que solamente los participantes y el proveedor del servicio puedan leer mensajes o ver quién se está comunicando. Algunos servicios, como CryptoCat, utilizan un método inclusive más seguro en el que solamente los participantes de un chat pueden leer mensajes, pero esto es menos común. Algunos proveedores están dispuestos a entregar los registros de los chats cuando se los piden, otros no. Los servicios de mensajería instantánea y sus prácticas están cambiando constantemente, y por ello es importante estar al tanto de las prácticas actuales del proveedor. La mensajería equivalente a PGP y GPG es Mensajería sin Registro u Off-The-Record (OTR) Messaging, que puede utilizarse en combinación con la mayoría de los programas de software para mensajería instantánea. Como sucede con PGP/GPG, el sistema OTR exige que ambas partes en la conversación tengan la capacidad técnica necesaria para poder instalar y aprender nuevas aplicaciones.

Habilidades de inteligencia

Hay muchas maneras diferentes de vigilar e interceptar las comunicaciones electrónicas. Cuando la seguridad de una persona depende de la seguridad de las comunicaciones o del anonimato de una fuente, puede ser sensato prescindir completamente de ambos.

Valore coordinar códigos "fuera de banda" --es decir, no por un canal del que se sospecha que es inseguro. Si puede encontrarse con alguien en persona o tener un intermediario confiable, puede aprovechar la oportunidad para coordinar ciertos mensajes acordados de antemano que luego pueda utilizar en la Internet si es necesario.

Defender los datos

Los smartphones, las tabletas y las computadoras laptop pueden guardar grandes cantidades de datos y permiten el acceso a muchas herramientas valiosas. Por otro lado, si las computadoras o los teléfonos son robados o destruidos, se corre el riesgo de perder una gran cantidad de información importante. Ello hace que los teléfonos y las computadoras se conviertan en blancos atractivos para cualquier persona que desee obtener acceso a todo el trabajo y la correspondencia suyos, o para cualquiera que desee interferir con su trabajo. Puede que a un adversario le baste con robarle el dispositivo o con intentar destruirlo, o puede intentar instalar software maligno que le proporcione el acceso a distancia de sus archivos y todas sus comunicaciones. Por tanto, es importante proteger la información de dos maneras: asegurar que no se pueda destruir y asegurar que no se pueda robar.

La manera más sencilla de proteger los materiales de trabajo de la destrucción o la divulgación es mantenerlos alejados de todo peligro. Si planea viajar a un ambiente más riesgoso, tome en cuenta la posibilidad de dejar atrás la información sensible y utilizar otra laptop o un sencillo teléfono que lleve una cantidad de información mínima. Puede ser ventajoso cambiar las contraseñas de las cuentas de correo electrónico o medios sociales y sustituirlas por algo que usted no pueda recordar y dejarlas con un amigo o colega de confianza. Ello significará que usted no podrá entregar esas contraseñas incluso si se las piden. Esto no siempre es factible, pero cuando es apropiado, mantener los materiales y las contraseñas alejados de un ambiente riesgoso es una de las herramientas más seguras a su disposición.

Si espera atravesar situaciones en las que su computadora puede ser confiscada o inspeccionada --en cruces fronterizos o puntos de control, por ejemplo-- tal vez prefiera eliminar la información confidencial. No se trata simplemente de eliminar el archivo o tirarlo a la papelera. A menudo es bastante sencillo recuperar archivos que se eliminaron a través de métodos habituales de la computadora. Si quiere que sus datos realmente sean irrecuperables, necesita usar software adicional especialmente diseñado para eliminar esos datos de manera segura. O bien utilice la aplicación "eliminación segura" de su computadora, si es que cuenta con ello, o baje con anticipación software de terceros para este propósito.

Confidencialidad y encriptación

Siembre debe encriptar su computadora. Los programas BitLocker de Windows, FileVault de MacOS o el independiente TrueCrypt le permiten proteger toda su computadora o su cuenta de usuario, lo cual es mucho más seguro que simplemente tratar de proteger cada archivo individual. Los dispositivos Android y iOS también tienen funciones de encriptación que se pueden activar en las opciones de configuración. Es importante [escoger una contraseña difícil] para la encriptación. Lo único que mantiene seguros sus datos es la frase de contraseña, y alguien que le confisque el dispositivo puede utilizar una computadora para adivinar muy rápidamente muchas posibilidades de frases de contraseña.

Bloquee la pantalla de la computadora y utilice un código de identificación personal (Personal Identification Number, PIN) en lugar de deslizar los dedos en un patrón para ingresar a su dispositivo móvil. Aunque ninguna de estas medidas detendrá a un atacante decidido, lo protegerán de los fisgones ocasionales. Asegúrese de apagar o poner en modo de hibernación (en lugar de poner en modo de suspensión) la computadora cuando deje el área de trabajo o cuando piense que lo puedan registrar, como por ejemplo al cruzar una frontera, puesto que ello obligará a un atacante a enfrentarse a encriptación que es muy difícil de atacar, en lugar de una pantalla bloqueada, que es más fácil.

Piense en la conveniencia de guardar la información confidencial en una memoria USB, que resulta más fácil de ocultar y de proteger. Por supuesto, también debe asegurarse de encriptar las memorias portátiles. En comparación con una computadora laptop o hasta un smartphone, es más fácil llevar una memoria USB de manera oculta consigo. Además, tal vez quiera hacer una copia de seguridad de documentos vitales desde una computadora portátil a una memoria USB de modo tal de poder contar con una copia si pierde control de sus computadoras.

Inclusive en una redacción, esté atento a la gente que mira por encima de sus hombros cuando se registra o lee sus mensajes. Si usted tiene un adversario sumamente dedicado, una cámara oculta puede desempeñar la misma función. No use computadoras públicas en cibercafés ni en hoteles para conversaciones confidenciales ni para acceder a su memoria USB. Y no ingrese contraseñas en computadoras públicas.

Programas malignos

Es un reto proteger un smartphone debido a la complejidad de estos dispositivos y al amplio acceso que las aplicaciones pueden obtener a todo tipo de información en el dispositivo. Muchas aplicaciones se financian gracias a la publicidad, que depende de recolectar información sobre los usuarios, algo muy parecido a la vigilancia. Puede mejorar su grado de protección utilizando un dispositivo diferente para el trabajo y otro para fines personales e instalar el mínimo de aplicaciones en el dispositivo usado para el trabajo. Jamás manipule el software del dispositivo, pasando por alto las restricciones de software del fabricante, y no habilite la instalación de software procedente de fuentes externas que no sean la tienda virtual de aplicaciones instalada en el dispositivo.

Gobiernos y organizaciones criminales usan de modo creciente el envío de software maligno llamado malware para destinatarios seleccionados a tal efecto, con el fin de atacar a quienes son percibidos como enemigos, como por ejemplo los periodistas independientes. Al aprovechar los errores de programación que se hallan presentes en softwares populares entre los usuarios de Internet, el software malicioso se instala a sí mismo de manera remota e invisible en las computadoras; el malware puede entonces registrar sus golpes de tecla, mirar sus pantallas, o inclusive subir archivos locales a sitios de Internet remotos. Puede enviarse a través de adjuntos que viajan en mensajes de correo electrónico falsos pero convincentes, e inclusive en sitios de Internet que se ven como cualquier otro. No hagan clic en estos adjuntos o enlaces que reciben por correo electrónico, inclusive si provienen de colegas, sin considerar la posibilidad de que el correo pudiera ser una copia a medida que usa detalles personales que un atacante extrajo en línea. Utilice software antivirus y manténganlo actualizado; éste podrá detectar todos los ataques de los cuales es víctima, excepto los más sofisticados. Si usa Windows, tanto Microsoft Security Essentials como Avast brindan programas antivirus básicos y gratuitos). Si acaso sospecha que su computadora pudiera estar infectada, la mayoría de los técnicos independientes y empleadores podrán limpiar las máquinas y reinstalar el software de modo que el malware sea eliminado. Asegúrese de hacer una copia de seguridad de todos los datos antes de que se inicie el proceso y trabaje con los expertos para asegurarse de que los datos que copian no estén albergando el software maligno.

Copias de seguridad

Las copias de seguridad remotas, en los cuales archivos locales son copiados periódicamente en un servidor remoto, son en general una buena idea a tener en cuenta. Constituyen otra forma de proteger su información en caso de que perdiera acceso a su máquina local. Asegúrese de que los datos estén encriptados al hacer esto y de que el acceso a las copias de seguridad esté controlado. (Vea la sección sobre [Proteger datos externos].) SpiderOak es un servicio que automáticamente sincroniza los archivos de manera segura, y guarda una copia encriptada con el proveedor de servicio. Crashplan es una herramienta encriptada para copias de seguridad que se ejecuta automáticamente en la computadora y sube las copias de manera segura. Lo más importante respecto a las copias de seguridad es que sucedan automáticamente, aunque usted haga algo o no. La vida puede ser muy agitada y llena de distracciones y es mejor que las copias de seguridad se ejecuten con eficiencia, o no se realizarán.

Datos externos

No toda la información que tiene en su computadora o en su teléfono inteligente se guarda localmente. Puede guardar datos "en la nube" en sitios tales como Google Docs, o servicios de Web mail como Gmail o Yahoo, o bien en servicios de redes sociales como Facebook. Si le preocupa el acceso a la información privada, debe considerar la seguridad de los datos externos igualmente.

Las empresas de Internet sí entregan datos privados ante demandas presentadas por el gobierno si lo exige la ley local, o si poseen vinculaciones estrechas con autoridades políticas o económicas. Sin embargo, el acceso a los datos almacenados en la nube se obtiene tanto a través del engaño como mediante el debido proceso. Los atacantes pueden obtener su contraseña de registro, o hacerse pasar por usted para obtener acceso. Seleccione sus contraseñas y preguntas de seguridad con cuidado para impedir esto. Siempre utilice una conexión encriptada, provista ya sea por el servicio de Internet vía "https" o su propio software.

No proteja simplemente los datos privados que están en línea; considere también lo que está revelando en lugares de Internet disponibles en forma pública. Los sitios de redes sociales a menudo se equivocan cuando tienen que decirles a todos, todo lo usted les dice a ellos. Vale la pena intentar en forma periódica tratarse a sí mismo como si fuera el blanco de algún tipo de periodismo de investigación. Fíjese cuánto puede sacar a luz por sus propios medios buscando en la Web, y cómo esa información pública podría ser usada indebidamente por aquellos que desean interferir con su labor.

Escoger una contraseña segura

La protección mediante el uso de una contraseña segura es, sin lugar a dudas, la mejor defensa en general que puede brindarle a sus datos. Pero seleccionar una contraseña invulnerable es más difícil de lo que parece. Muchos se sienten azorados al descubrir que sus ingeniosas elecciones se hallan en realidad entre las contraseñas más populares. Al estudiar grandes bases de datos de contraseñas, los atacantes pueden recopilar extensas listas de contraseñas posibles organizadas en categorías que van desde las más probables hasta las más improbables. Estas listas incluyen pequeñas variaciones y otras modificaciones, como sustituir las letras por números o símbolos de apariencia similar, añadir números o signos de puntuación al principio o al final de las palabras, o combinar algunas palabras en un todo. El software les permite a los atacantes probarlas rápidamente contra un dispositivo o servicio protegido con contraseña. Las opciones de contraseña tradicionales fácilmente sucumben a estos ataques.

Los atacantes pueden obtener la contraseña suya por medio de amenazas contra la integridad física. Valore la posibilidad de mantener una cuenta que contenga información inofensiva, cuya contraseña usted pueda divulgar bajo coacción. Piense en la conveniencia de utilizar una frase de contraseña en lugar de una contraseña. Una manera de escoger una frase de contraseña es pensar en una cita de autor o un proverbio poco conocidos y que sea poco probable que los asocien con usted. Puede utilizar la frase completa como contraseña, o la puede abreviar como lo sugiere el experto en seguridad Bruce Schneier para crear una serie de símbolos con apariencia verdaderamente aleatoria. Por ejemplo:

* WIw7,mstmsritt... = When I was seven, my sister threw my stuffed rabbit in the toilet.

* Wow...doestcst = Wow, does that couch smell terrible.

* Ltime@go-inag~faaa! = Long time ago in a galaxy not far away at all.

* uTVM,TPw55:utvm,tpwstillsecure = Until this very moment, these passwords were still secure.

Este método depende de que escoja una frase lo suficientemente desconocida y la abrevie con seguridad. Otro método es escoger una secuencia de palabras verdaderamente aleatoria. Esto se puede realizar fácilmente usando un par de dados comunes y la lista de palabras del sitio web http://www.diceware.com. Siete u ocho palabras escogidas de esta manera crean una contraseña difícil, pero mientras más larga sea la contraseña, mejor resistirá un ataque automatizado. Utilizar estas palabras para construir en la mente una historia o imagen graciosas, puede ayudar a que tales contraseñas sean fáciles de recordar.

Si utiliza muchas contraseñas, considere la posibilidad de usar un gestor de contraseñas, un software que generará contraseñas únicas y las almacenará de modo seguro bajo una frase de contraseña única. Asegúrese de que esa única frase de contraseña sea segura. Preste atención a las respuestas que brindan a las "preguntas de seguridad" (como por ejemplo, "¿Cuál es el apellido de soltera de su madre?") que los sitios de Internet utilizan para confirmar la identidad de los usuarios cuando se olvidan sus contraseñas. Las respuestas honestas a muchas preguntas de seguridad son hechos que pueden ser públicamente descubiertos y que adversarios decididos pueden hallar con facilidad. En su lugar, brinde respuestas ficticias que, del mismo modo que las frases de contraseñas, nadie conoce excepto usted. No use la misma contraseña o preguntas de seguridad para múltiples cuentas en distintos sitios o servicios de Internet.

Finalmente, comprenda que siempre habrá un camino que los atacantes encontrarán para obtener sus contraseñas. Pueden directamente amenazarlo con daños físicos. Si teme que ésta pudiera ser una posibilidad, piense los modos de ocultar la existencia de datos o dispositivos que están protegiendo con las contraseñas, antes que confiar en que nunca se verá obligado a entregarlas. Una posibilidad es mantener por lo menos una cuenta que tenga información en gran medida inocente, cuya contraseña pueda divulgar rápidamente. El software llamado TrueCrypt ofrece esto como una característica ya incorporada. Este enfoque depende de que se logre actuar de manera convincente y de que el contenido de la cuenta sea convincente.

Conclusión

Aumentar la seguridad nunca resulta algo perfecto, y siempre tiene sus desventajas. Solamente usted puede decidir cuál es el balance entre desempeñar su labor de modo eficiente y protegerse contra los ataques a sus datos. Cuando considera las soluciones, sea honesto sobre su capacidad y no se imponga protocolos de seguridad imposibles. Encriptar sus correos, eliminar sus archivos mediante métodos seguros y utilizar largas contraseñas no será de ninguna ayuda si, siendo realista, no es consecuente con esos mismos hábitos en el terreno. Piense en su lugar, qué pasos fundamentales en verdad adoptará. Si le preocupa mucho la posibilidad de sufrir ataques técnicos, más que una confiscación, por ejemplo, considere la conveniencia de redactar notas en un anotador de papel en lugar de hacerlo en un documento Word.

Si está enfrentando sofisticados ataques técnicos, el mejor modo de abordarlos puede ser sencillo y mínimo. Sólo usted puede decidir las ventajas y las desventajas. No es un "ciberdelito" guardar sus contraseñas largas escritas en papel en un lugar seguro. Al menos si alguien le roba, podrá saber que es hora de cambiarlas. Simplemente tenga cuidado de no poner esas contraseñas en un papel autoadhesivo sobre la pared de su oficina.


Próximo capítulo: 4. Conflicto Armado


Tamaño del texto
A   A   A
Herramientas

   

Imprimir Imprimir

Compartir Compartir

Manual de Seguridad para Periodistas del CPJ

Tabla de Contenidos

2. Evaluación y Respuesta al Riesgo

4. Conflicto Armado

 



Manual de Seguridad para Periodistas del CPJ » Ir a: